다중 리전 키로 키 구성 요소 가져오기

고유한 KMS 키 구성 요소를 다중 리전 키로 가져올 수 있습니다. 고유한 키 구성 요소로 만든 다중 리전 키는 상호 운용이 가능합니다. 한 리전의 데이터를 암호화하고 관련 다중 리전 키로 다른 리전의 데이터를 해독할 수 있습니다.

그러나 키 구성 요소를 관리해야 합니다.

• AWS KMS는 가져온 키 구성 요소가 있는 기본 키의 키 구성 요소를 복제 키로 복사하거나 동기화하지 않습니다. 동일한 키 구성 요소를 관련 기본 키와 복제본 키로 가져와야 합니다.

• 키 구성 요소를 가져올 때 각 키의 만료 모델과 만료 날짜를 독립적으로 설정합니다. 관련된 다중 리전 키에 대해 동일하거나 다른 만료 모델 및 만료 날짜를 구성할 수 있습니다. 키 구성 요소가 만료 날짜에 가까워지면 키 구성 요소를 영향을 받는 다중 리전 키로 다시 가져와야 합니다.

  관련된 다중 리전 키의 키 상태는 서로 독립적입니다. 예를 들어 기본 키의 키 구성 요소가 만료되면 해당 복제 키는 영향을 받지 않습니다.

복제본 키에 대한 동일한 리전 요구 사항이 가져온 키 구성 요소가 있는 다중 리전 키에 적용됩니다. 동일한 키 구성 요소를 단일 리전 키 또는 관련이 없는 다중 리전 키로 가져오는 경우 이러한 KMS 키는 상호 운용할 수 없습니다.

가져온 대칭, 비대칭 또는 HMAC 키 구성 요소를 통해 다중 리전 키를 생성할 수 있습니다. AWS KMS는 사용자 지정 키 스토어에서 가져온 키 구성 요소를 지원하지 않습니다. 또한 가져온 키 구성 요소를 사용하여 KMS 키의 자동 키 교체를 활성화할 수 없습니다.

다중 리전 기능 외에도 가져온 키 구성 요소가 있는 다중 리전 키는 가져온 키 구성 요소가 있는 다른 KMS 키와 동일합니다. 가져온 키 구성 요소가 있는 단일 리전 키를 만들고 구성하는 방법에 대한 자세한 내용은 가져온 키 구성 요소 정보 섹션을 참조하십시오.

가져온 키 자료가 있는 모든 KMS 키가 상호 운용되지 않는 이유는 무엇입니까?

가져온 키 구성 요소가 있는 단일 지역 KMS 키는 키 자료가 동일하더라도 상호 운용할 수 없습니다. AWS KMS가 KMS 키를 사용하여 데이터를 암호화할 때 일부 키 메타데이터를 암호문에 암호화 방식으로 바인딩합니다. 이렇게 하면 암호화된 데이터가 해당 데이터를 암호화할 수 있는 KMS 키만 암호문을 해독할 수 있습니다.

다중 리전 키는 상호 운용이 가능하도록 설계되었습니다. 키 구성 요소가 같을 뿐만 아니라 키 ID 및 기타 메타데이터가 동일합니다. 따라서, 그들이 생성하는 암호문은 관련된 다중 리전 키에 의해 해독할 수 있습니다. 따라서 다중 리전 키의 신뢰 속성은 단일 리전 키의 신뢰 속성과 다릅니다. 그러나 일부 고객의 경우 여러 리전에서 해독하는 것이 단일 AWS 리전의 단일 KMS 키에 의존하는 암호문보다 더 보안상의 이점이 큽니다.

가져온 키 구성 요소가 있는 기본 키 만들기

가져온 키 구성 요소가 있는 기본 키를 만들려면 키 구성 요소 없이 KMS 키를 만드는 것으로 시작합니다. 키 구성 요소가 없는 프라이머리 키를 생성할 때는 가져오려는 키 구성 요소의 유형을 반영하는 키 사양을 지정해야 합니다. 그런 다음 키 구성 요소를 프라이머리 키로 가져옵니다.

키 구성 요소가 없는 다중 리전 기본 키를 생성하는 절차는 키 구성 요소가 없는 단일 리전 키를 생성하는 절차와 거의 동일합니다. 유일한 차이점은 키가 다중 리전 키임을 지정한다는 점입니다.

가져온 키 구성 요소로 다중 지역 기본 키를 생성할 수 있는 권한은 IAM 정책의 CreateKeykms:및 iam: CreateServiceLinkedRole 권한을 포함하여 키 구성 요소가 포함된 다중 지역 기본 AWS KMS 키를 생성하는 데 필요한 권한과 동일합니다. kms: MultiRegionKeyType 및 kms: KeyOrigin 조건 키를 사용하여 가져온 키 구성으로 다중 지역 기본 키를 생성할 수 있는 권한을 허용하거나 거부할 수 있습니다.

AWS KMS 콘솔에서 가져온 키 구성 요소가 있는 프라이머리 키를 생성할 때 고급 옵션(Advanced options) 섹션의 설정을 사용하세요. KMS 키가 생성된 후에는 이러한 속성을 변경할 수 없습니다.

• 키 구성 요소 오리진(Key material origin)을 키 구성 요소 가져오기(Import key material)로 설정합니다.

• 다중 리전 복제(Multi-Region replication)를 이 키를 다른 리전으로 복제하도록 허용(Allow this key to be replicated into other Regions)으로 설정합니다.

가져온 키 구성 요소로 기본 키를 생성하는 CreateKey작업을 사용할 때는 Origin 및 MultiRegion 매개변수를 사용하고 및 를 지정하십시오. KeySpec KeyUsage 다음 예제에서는 ECC_NIST_P384 키 구성 요소를 가져올 수 있는 EXTERNAL KMS 키를 만듭니다.

$ aws kms create-key --origin EXTERNAL --key-spec ECC_NIST_P384 --key-usage SIGN_VERIFY --multi-region       

그 결과 키 구성 요소가 없고 키 상태가 PendingImport인 다중 리전 기본 키가 생성됩니다.

이 KMS 키를 사용하려면 퍼블릭 키를 다운로드하고 토큰을 가져오고 퍼블릭 키를 사용하여 키 구성 요소를 암호화한 다음 키 구성 요소를 가져와야 합니다. 지침은 키용 AWS KMS 키 자료 가져오기 섹션을 참조하십시오.

가져온 키 구성 요소가 있는 복제본 키 생성

AWS KMS 콘솔에서 또는 AWS KMS API 작업을 사용하여 다중 리전 복제본 키를 생성할 수 있습니다. 가져온 키 구성 요소가 있는 다중 리전 기본 키 복제하려면 AWS KMS 키 구성 요소가 있는 복제본 키를 생성하는 데 사용하는 것과 동일한 절차를 사용합니다. 그러나 결과는 다릅니다. 기본 키와 동일한 키 구성 요소가 있는 복제 키를 반환하는 대신 복제 프로세스는 키 구성 요소가 없고 키 상태가 PendingImport인 복제 키를 반환합니다. 복제본 키를 사용하도록 설정하려면 기본 키로 가져온 것과 동일한 키 구성 요소를 복제본 키로 가져와야 합니다.

키 구성 요소를 복제하지는 않지만, AWS KMS는 기본 키와 동일한 키 ID, 키 사양, 키 사용 및 키 구성 요소 오리진을 사용하여 복제 키를 생성합니다. 또한 복제 키로 가져오는 키 구성 요소가 기본 키로 가져온 키 구성 요소와 동일한지 확인합니다.

가져온 키 구성 요소가 있는 복제본 키를 만들려면

1. 가져온 키 구성 요소가 있는 다중 리전 기본 키를 만듭니다.

2. 다음 중 하나를 수행하세요.

   AWS KMS 콘솔에서 가져온 키 구성 요소가 있는 다중 리전 기본 키를 선택합니다. 그런 다음 리전 구분(Regionality) 탭에서 새 복제본 키 생성(Create new replica keys)을 선택합니다. 지침은 복제본 키 생성(콘솔) 섹션을 참조하세요.

   또는 ReplicateKey작업을 사용할 수도 있습니다. KeyId 파라미터의 경우 가져온 키 구성 요소가 있는 다중 리전 프라이머리 키의 키 ID 또는 키 ARN을 입력합니다. 지침은 복제본 키 생성(AWS KMS API) 섹션을 참조하세요.

3. 각각의 새 복제본 키에 대해 퍼블릭 키를 다운로드하고 토큰을 가져오는 단계를 따릅니다. 퍼블릭 키를 사용하여 기본 키의 키 구성 요소를 암호화한 다음 복제 키에서 기본 키의 키 구성 요소를 가져옵니다. 각 복제본 키에 대해 서로 다른 퍼블릭 키가 필요하고 토큰을 가져와야 합니다.

   복제본 키로 가져오려는 키 구성 요소가 기본 키와 동일한 키 구성 요소가 아닌 경우 작업이 실패합니다. AWS KMS는 만료 모델과 만료 날짜를 조정할 필요가 없지만 다중 리전 키에 대한 비즈니스 규칙을 설정할 수 있습니다. 지침은 키용 AWS KMS 키 자료 가져오기 섹션을 참조하세요.

가져온 키 구성 요소가 있는 키를 복제할 수 있는 권한

가져온 키 구성 요소가 있는 복제본 키를 생성하려면 다음과 같은 권한이 있어야 합니다.

기본 키 리전에서:

• kms: ReplicateKey 기본 키 (기본 키의 지역) 에서. 기본 키의 키 정책 또는 IAM 정책에 이 권한을 포함합니다.

복제본 키 리전에서:

• kms: IAM CreateKey 정책에서.

• kms:. GetParametersForImport 복제본 키의 키 정책 또는 IAM 정책에 이 권한을 포함할 수 있습니다.

• kms:. ImportKeyMaterial 복제본 키의 키 정책 또는 IAM 정책에 이 권한을 포함할 수 있습니다.

• TagResourcekms:는 복제 시 태그를 할당하는 데 필요합니다. 복제본 리전의 IAM 정책에 이 권한을 포함합니다.

• CreateAliaskms:는 콘솔에서 키를 복제하는 데 필요합니다. AWS KMS 자세한 내용은 별칭에 대한 액세스 제어 단원을 참조하십시오.